瀚思科技：浅析UBA在各行业领域的实践及运用案例

3月28日，瀚思科技（HanSight）产品副总裁周奕集聚业内朋友，分享了关于UBA在各行业领域的应用及案例分析。

在这里首先简单介绍一下UBA，UBA是一种应对内部威胁需要全新技术手段，而UBA用户行为分析可以帮助企业或组织发现内部威胁、目标攻击或金融欺诈等。

新形势下的安全防护趋势

随着互联网技术的应用越来越成熟，众多企业已经步入数据化创新时代，虽然企业数据化有利于企业的健康发展，但同时也引起了众多攻击者（黑客）的关注，各式各样的勒索病毒相续出现，而近些年各公司也出现了很多数据泄露问题，高管邮箱或财务邮箱被攻击事件也比比皆是。

如今多元化的攻击方式与日俱增，并且攻击者更加针对于行业（例如：攻击金融业的POS机、攻击企业IT部进行大量的挖矿活动等），故此，各企业对网络数据的安全防护也越来越重视。

据数据统计，新形势下攻击者的攻击多以数据盗取为目标，从而达到其他的利益导向。在如此趋势下，UBA新型防护体系将起到至关重要的作用。UBA新型防护体系引入AI的深度学习，可以对企业做到智能化的分析。

UBA新型防护体系：

· 利用深度学习实时监测未知恶意文件；

· 可输入全网数以亿计的恶意文件样本；

· 实时检测；

· 及时发现人员与行为异常。

其核心分析方法是：

· 有监督机器学习、聚类、网络建模等异常检测方法；

· 网络溯源-Http会话还原，Payload Check。

落地场景：

· 数据渗透、横向移动、APT攻击；

· 检测用户异常，解决其他典型的数据泄露问题

· 执行实时的安全关联分析；

· 收集日志数据，生成合规报表。

UBA架构如图：

UBA新型防护体系应用案例

在分享案例前，我们首先要了解数据泄露的核心是“人”。据统计，68%的数据泄露事件是“过失泄露”，即企业内部人员因为过失导致公司数据泄露。22%的数据泄露是“恶意违规”，即攻击者或内鬼进行恶意的行为导致数据泄露。10%的数据泄露是“账号攻陷”，即存在漏洞被攻击者攻陷。

案例1：某券商

下图就是UBA新型防护体系对这家券商的安全报警：

高危预警显示，访问文件行为偏离部门基线，关联DLP日志疑似发现数据泄露，也就是说可疑访问者正在进行拖文件操作。如图所示，可疑访问者的操作时间和盗取的文件信息清晰的显示在原始日志列表中。

案例2：某教育机构

问题多出现在经常接到考生投诉，疑似考生信息泄漏。

通过大数据分析用户行为发现员工行为与日常行为和部门行为产生偏离，检测发现该账户在非上班时间盗取考生信息。

UBA防护体系第一时间发现了该机构存在的安全问题。并实时对其进行侦测业务行为异常，保护核心数据防范业务风险。

总结：

UBA新型防护体系可帮助金融领域、教育领域等行业进行安全防护，可以有效直观的分析出安全问题的源头，帮助企业解决业务问题。UBA新型防护体系将传统信息安全转移到了业务安全，在企业中起到了“看透已知，侦测未知”的重要作用。为企业安全做出了卓越的贡献。